夜雨聆风最近AI圈最火的词,莫过于“养龙虾”。
这里的“龙虾”,不是餐桌上的美味,而是2026年现象级开源AI智能体工具——OpenClaw。短短4个月,它的GitHub星标突破27万,全球独立部署实例超100万,被开发者亲切称为“小龙虾”,凭借“能真正动手干活”的特性,彻底打破了传统AI“只聊天不做事”的局限,从普通用户到企业运维,都在跟风“养虾”。
有人用它自动整理文件、生成日报,有人靠它监控服务器、批量处理订单,甚至有人让它远程操控电脑,实现“夜间下达指令、晨间获取成果”的智能服务。不可否认,OpenClaw的出现,确实给工作和生活带来了极大便利,成为很多人眼中“解放双手”的神器。
但热潮之下,隐患暗藏。
近期,国家安全部、国家网络安全通报中心先后发布OpenClaw安全风险提示,多地已出现用户因不当使用“龙虾”,导致设备被接管、数据被窃取、产生高额损失的案例。不少用户从“付费安装”到“付费卸载”,才发现这场“养虾狂欢”背后,藏着不为人知的安全陷阱。
OpenClaw(龙虾)到底是什么?
很多人跟风部署“龙虾”,却连它的核心定位都没搞懂,这也是安全风险频发的根源之一。
OpenClaw(曾用名ClawdBot、Moltbot),核心定位是“开源、自托管的AI智能体执行网关”,简单说就是“连接AI大脑与本地设备的桥梁”——它不像ChatGPT、文心一言那样只提供对话建议,而是能通过自然语言指令,直接操控你的电脑、服务器,完成文件处理、网页自动化、邮件发送等实际任务,相当于一个“住在设备里的数字管家”。
核心特点的有4点,也是其受欢迎的关键,同时也是风险的源头:
1. 从“给出方案”到“落地执行”:能通过聊天软件远程接收指令,自主完成任务,不用人工干预;
2. 从“固定功能”到“多种插件”:内置大量技能插件,可自由下载,覆盖文件管理、日历调度、网页浏览等多场景;
3. 从“普通工具”到“自我进化”:能长期记忆用户使用习惯,“越用越懂用户”,这也是“养龙虾”说法的由来;
4. 从“被动等待”到“主动服务”:可根据用户设置,主动感知外部情况,触发预警或执行动作,实现全天候服务。
需要明确的是,OpenClaw本身是开源免费的,基于MIT协议,所有源码公开,主打“本地优先、安全可控”,但“可控”的前提是,用户掌握正确的使用方法,否则反而会变成“安全漏洞”。
OpenClaw的4大核心安全隐患
国家网络安全通报中心监测数据显示,目前全球活跃的OpenClaw互联网资产已超20万个,其中境内约2.3万个,而这些资产中,85%存在公网暴露的情况,极易成为网络攻击的目标。结合官方通报和真实案例,以下4类隐患最常见,也最容易被忽视。
隐患1:主机易被接管,权限失控后果严重
这是OpenClaw最核心的风险。为了让“龙虾”能顺利完成任务,很多用户会下意识给它最高系统权限(比如root权限),相当于把设备的“万能钥匙”交给了它。
一方面,OpenClaw本身存在架构设计缺陷,其IM集成网关层可被攻击者伪造消息绕过身份认证,执行层与操作系统直接交互时,可能被完全控制;另一方面,一旦“龙虾”被黑客利用,攻击者就能神不知鬼不觉获取设备管理权限,远程操控设备、非法占用资源,甚至删除用户核心数据。
案例:3月,深圳一名程序员因未限制“龙虾”权限,且未关闭公网端口,导致设备被远程接管,API密钥被盗,产生了高达1.2万元的Token账单(Token为AI调用计价单位,复杂任务消耗量大)。
隐患2:数据易被窃取,隐私安全无保障
OpenClaw主打“本地存储”,理论上能保护数据隐私,但实际使用中,很多用户缺乏数据安全意识,会让“龙虾”处理个人敏感数据(比如身份证号、银行卡信息、工作机密文档),而这些数据的安全,完全依赖用户的配置和“龙虾”的防护能力。
更值得警惕的是,OpenClaw默认配置存在严重漏洞:API密钥和聊天记录等敏感信息明文存储,没有加密保护;同时,其插件生态存在大量恶意插件,3016个被分析的插件中,有336个包含恶意代码,占比高达10.8%,这些恶意插件会偷偷窃取本地敏感信息,隐蔽性远超传统木马程序。
此外,部分用户会将“龙虾”暴露在公网,且不设置身份认证,任何人都能尝试连接,一旦被攻破,设备内的所有数据都会面临泄露风险。
隐患3:言论/指令易被篡改,可能沦为诈骗工具
OpenClaw能对接微信、Telegram、Discord等十余种通讯软件,可自主在社交网络发声、发送消息。这一功能如果被滥用或劫持,会带来极大的安全风险。
一旦“龙虾”被攻击者接管,可能被用于生成和传播虚假信息、实施诈骗等不法活动——比如冒充用户给亲友发送借钱信息,或者模仿企业员工发送虚假工作指令,诱导他人转账、泄露机密,而用户往往直到造成损失,才会发现“龙虾”已被劫持。
隐患4:高危漏洞多,利用难度低,防护门槛高
作为一款开源工具,OpenClaw缺乏专业的维护与漏洞修复机制,截至目前,历史披露的漏洞多达258个,其中近期暴露的82个漏洞中,有12个超危漏洞、21个高危漏洞,主要以命令和代码注入、路径遍历、访问控制漏洞为主,且利用难度普遍较低,即使是技术水平不高的攻击者,也能轻松利用漏洞入侵设备。
比如1月,OpenClaw的核心网关组件(Gateway)被曝存在高危RCE漏洞(CVE-2026-25253),攻击者可通过该漏洞远程操控“龙虾”实例;2月,有黑客利用假的OpenClaw安装包传播木马病毒,不少用户因下载非官方版本,导致设备中毒。
实操:“养虾”安全指南
很多人看到这里会疑惑:“龙虾”风险这么多,难道不能用了?其实不然。只要遵循“最小权限、严格防护、规范使用”的原则,就能有效规避大部分风险。
指南1:从官方渠道安装,拒绝第三方“整合包”
这是最基础,也是最关键的一步。目前最常见的攻击方式,就是通过假安装包传播病毒,很多用户图方便,从网盘、微信群下载“一键安装包”“优化版”,殊不知这些安装包可能被植入木马。
正确做法:仅从OpenClaw官方渠道下载最新稳定版本,并开启自动更新,及时安装安全补丁,避免使用历史版本或第三方镜像版本。
官方核心渠道(精准可查):
- 官方网站:https://openclaw\.ai/
- 官方安装脚本:https://openclaw\.ai/install\.ps1
- GitHub主仓库:https://github\.com/openclaw/openclaw
如果只是想体验“养虾”,不想折腾技术部署,最安全的选择是使用大厂出品的云Claw服务(如月之暗面Kimi Claw、字节ArkClaw),由平台负责安全隔离和漏洞修复,风险更低。
指南2:禁止公网暴露,关闭默认高危端口
OpenClaw默认绑定0.0.0.0:18789地址,允许所有外部IP访问,且远程访问无需账号认证,这相当于把设备的“家门”敞开,任何人都能尝试进入。
正确做法:
1. 先检查“龙虾”是否暴露在公网:
—— Linux或Mac用户:运行命令 ss \-tlnp \| grep 18789 或 lsof \-i :18789
—— Windows用户(PowerShell):运行命令 netstat \-ano \| findstr \&\#34;:18789\&\#34;
如果输出结果中出现 0\.0\.0\.0:18789 或 :::18789,说明已完全暴露,需立即修改。
2. 修改配置文件(通常是openclaw.json),限制访问范围:
\{
gateway: \{
port: 18789,
bind: \&\#34;loopback\&\#34;, // 仅允许本地访问
auth: \{
token: \&\#34;输入32位以上随机字符串作为密码\&\#34;
\}
\}
\}
指南3:遵循最小权限原则,不给“龙虾”超额权限
记住:永远不要给OpenClaw管理员权限(root权限),只给它完成任务必要的最小权限,相当于“只给它开门的钥匙,不给它整个房子的控制权”。
正确做法:
1. 创建专用低权限账户运行OpenClaw(以Linux为例):
sudo useradd \-r \-s /bin/false openclaw\_user(创建不能登录的专用账户)
sudo chown \-R openclaw\_user:openclaw\_user /opt/openclaw(设置文件归属权)
sudo \-u openclaw\_user openclaw start(用专用账户启动)
2. 限制操作范围:在配置文件(config/security.yaml)中,明确禁用高危操作,对删除文件、修改系统配置等操作设置二次确认:
dangerous\_operations:
file\_delete: require\_confirm \# 删除文件需人工确认
system\_command: false \# 禁止执行系统命令(特殊需求除外)
payment: false \# 禁止涉及支付操作
指南4:规范插件使用,拒绝来源不明的插件
插件是OpenClaw的核心优势,但也是风险重灾区,10.8%的插件包含恶意代码,一旦安装,可能导致设备被入侵、数据被窃取。
正确做法:
1. 仅从官方插件市场(ClawHub官方渠道)下载插件,拒绝第三方平台或微信群分享的“小众插件”;
2. 安装前查看插件评分和用户评价,避免安装下载量低、无评价的插件;
3. 定期清理不常用的插件,减少安全隐患;
4. 禁止安装会获取不可信第三方内容、或动态从外部获取执行内容的插件,这类插件可能被攻击者远程修改执行逻辑。
指南5:加密敏感数据,做好操作审计
即使“龙虾”运行在本地,敏感数据也需要做好防护,避免因漏洞或劫持导致泄露。
正确做法:
1. 对设备内的敏感数据(如机密文档、账号密码)进行加密存储,不要让OpenClaw直接访问未加密的敏感文件;
2. 建立完整的操作审计日志,记录“龙虾”的所有执行动作,一旦出现异常(如异常文件访问、陌生指令执行),能及时发现并处置;
3. 给OpenClaw注入“安全规则”:修改其核心配置文件SOUL.md,明确禁止其分享文件路径、API密钥、基础设施详情,要求其遇到疑问时先询问再行动,筑牢“思想防线”。
指南6:定期“体检”,及时处置风险
“养虾”不是一劳永逸的,需要定期检查,及时排查安全隐患,避免小问题演变成大风险。
正确做法:每周对OpenClaw进行一次“安全体检”,重点检查3点:
1. 权限配置:是否存在超额权限,是否有陌生的权限授权;
2. 插件状态:已安装插件是否有异常,是否存在恶意插件;
3. 运行日志:是否有异常执行记录,是否存在陌生IP访问痕迹。
如果发现严重安全风险,立即采取隔离、下线等处置措施,避免风险扩散。
OpenClaw的火爆,本质上是人们对“高效AI工具”的需求,它不是“数字宠物”,而是能自主执行任务、承担流程操作的“数字员工”,其价值在于合规、安全、可控地提升工作效率,而非单纯的“跟风尝鲜”。
对于普通用户来说,如果你只是想体验AI自动化的便利,优先选择大厂云Claw服务,无需自己部署,安全更有保障;如果确实需要本地部署,务必严格遵循以上安全指南,不随意开放权限、不暴露公网、不安装陌生插件。
对于企业用户来说,部署OpenClaw前,需进行全面的安全评估,建立完善的安全管理制度,安排专业人员负责运维,避免因“龙虾”安全漏洞,导致企业机密泄露、财产损失。
